Leitfaden : Cyberattacken! Was tun?
Daten sind das neue Gold und werden in Zeiten der Digitalisierung zu einem immer wichtigeren Rückgrat für Unternehmen – dementsprechend sollten sie vor Cyberattacken geschützt werden. Da sich viele KMU der Bedeutung der Cyber Security für ihre Produktion noch nicht in vollem Umfang bewusst sind, hat die ExpertInnengruppe "Security und Safety" der Plattform Industrie 4.0 Österreich einen Leitfaden zu dieser Thematik entwickelt. Unter dem Dach der Plattform haben ExpertInnen aus Forschung, Politik, Unternehmen und Interessensvertretungen gemeinsam die wichtigsten Handlungsfelder und -empfehlungen identifiziert und knapp, aber präzise als praxisorientierte Checkliste zusammengestellt.
Österreich im Visier
Durch den steigenden Einsatz von Computern und Software in der Produktion und die Vernetzung von Systemen werden immer mehr Daten generiert, die für eine verbesserte Qualität und höhere Effizienz zunehmend wichtiger werden. Damit rücken Daten auch in den Fokus von kriminellen Machenschaften – im Vorjahr sind zwei von drei österreichischen Unternehmen Opfer von Cyberattacken gewesen. Trotz seiner kleinen Größe gehört Österreich zu den fünf interessantesten Angriffszielen weltweit, wenn es um Cyberangriffe geht.
„Viele KMU glauben, dass sie aufgrund ihrer Größe keine Cyberangriffe befürchten müssen und sind deshalb oft unzureichend geschützt. Doch gerade das macht sie verwundbar, denn die meisten Attacken erfolgen nicht gezielt, sondern automatisiert, d.h. die Angreifer kennen ihr Ziel nicht. Oft genügen schon ein paar einfache Dinge, um sich dagegen zu wappnen – neben technischen Sicherheitsmaßnahmen sind deshalb auch geschulte MitarbeiterInnen zentral“, führt Wilfried Enzenhofer, Geschäftsführer der Upper Austrian Research, aus.
Schutz- und Gegenmaßnahmen
Der Cyber Security Leitfaden der Plattform Industrie 4.0 stellt in wenigen Kapiteln die wichtigsten Arten von Sicherheitsrisiken vor und gibt praktische Tipps mit konkreten Schutz- und Gegenmaßnahmen:
Durch Industrie 4.0 werden Systeme zunehmend vernetzter, die Grenzen zwischen Unternehmens- (IT) und Produktionsnetz (OT – Operational Technology) verschwimmen dadurch – die Gefahr für eine Infektion mit Schadsoftware über Internet und Intranet im Produktionsbereich steigt. Besonders mangelndes Cyber-Sicherheitsbewusstsein in der OT und eine veraltete Architektur können Einfallstore für Cyberattacken sein. Schutz bieten (1) eine geeignete Netzwerk-Segmentierung, bei der IT und OT angemessen abgeschottet werden, (2) eine möglichst kleine Angriffsfläche, bei der ungenutzte Funktionalitäten deaktiviert werden, (3) eine laufende Aktualisierung der Software und (4) kontinuierliches Monitoring.
Auch MitarbeiterInnen als Risikofaktor können durch ihre Handlungen Sicherheitsvorfälle auslösen. Beispiel für Attacken können Telefonanrufer sein, die Mitarbeitende auffordern, eine dringende Überweisung zu beauftragen (CEO-Fraud), das Öffnen von Schadsoftware im E-Mail-Anhang, das Einschleusen von Schadsoftware durch Wechseldatenträger wie USB-Sticks oder manipulative Handlungen von externen Personen, um an unternehmensinterne Informationen zu gelangen (Social Engineering). Wichtig ist es deshalb, (1) die MitarbeiterInnen regelmäßig zu schulen und (2) Regeln für sichere Passwörter aufzustellen.
DoS- und DDos-Angriffe zielen darauf ab, die IT-Infrastruktur eines Unternehmens durch Überlastung zu beeinträchtigen, indem zeitgleich eine hohe Anzahl von Datenpaketen oder Anfragen gesendet wird. DoS bedeutet dementsprechend Denial of Service, DDos (Distributed Denial of Service) heißt, dass viele infizierte Computer diesen Angriff gleichzeitig starten. Das Motiv dafür liegt drain, den Angegriffenen einen wirtschaftlichen Schaden wie Service- oder Produktionsausfall zuzufügen. Um sich davor zu schützen, sollten (1) Überwachungsgeräte für den Datenverkehr und (2) Netzgeräte, die den Angriff filtern und den Datenverkehr umleiten können (Scrubbing Center) im Einsatz und (3) Notfallsprozesse mit dem Internetanbieter vereinbart sein.
„Die Anzahl und Dauer der DoS-Angriffe steigt ständig, auch deren Komplexität nimmt zu. Unternehmen sollten deshalb entsprechende Schutz- und Gegenmaßnahmen implementieren, um weder einen wirtschaftlichen noch einen Imageschaden davonzutragen“, weiß Helmut Leopold, Head of Center for Digital Safety & Security am Austrian Institute Of Technology (AIT).
Fernwartung und Cloud-Komponenten
Der Zugriff von einem externen Standort auf ein Internet System – z.B. zu Service- oder Reparaturzwecken – ist zwar praktisch und effizient, die Gefährdung durch Fremdwartung darf jedoch nicht unterschätzt werden. Zweierlei Maßnahmen sind notwendig, um dies zu vermeiden: (1) Organisatorisch sollte das Personal geschult, sichere Fernwartungsprozesse festgelegt, Standardpasswörter geändert, Zugriffe auf das IT-System protokolliert und Überprüfungen durch externe Dienstleister implementiert werden. Auf der (2) technischen Seite wirkt ein segmentiertes Netzwerk der Ausbreitung von Schadsoftware entgegen. Einzelne Kommunikationssysteme sollten nur zeitlich limitiert freigeschaltet und der Zugriff auf Produktionsanlagen nur über abgesicherte Netzwerke möglich sein, Geräte regelmäßig überprüft und übertragene Daten verschlüsselt werden sowie WartungsmitarbeiterInnen, die eindeutig identifiziert und authentifiziert werden, die Geräte regelmäßig auf Schadsoftware überprüfen.
Extranet- und Cloud-Komponenten – meist von externen IT-Dienstleistern betrieben –gewinnen zur Betriebsunterstützung, Fernwartung und für das Einspielen von Software-Updates immer mehr an Bedeutung. Bei der Cloud Security können durch die Kompromittierung von Extranet und Cloud-Komponenten Sicherheitsbedrohungen entstehen: Unter anderem durch (1) die Abhängigkeit der Produktion von einem Extranet- und Clouddienst, wenn beispielsweise bei smarten Geräten ein Gerätezertifikat für die Registrierung angefordert werden muss – deshalb sollte die Authentizität des Produktionssystems gewährleistet und das Produktionsnetzwerk strikt isoliert sein und die Verfügbarkeit der externen Dienste mit den Produktionsanforderungen übereinstimmen. (2) Wenn Teile der IT-Komponenten ausgelagert sind, können durch die unzureichende Mandantentrennung in Cloud-Plattformen Probleme entstehen. Deshalb sollte darauf geachtet werden, dass der IT-Dienstleister seine Plattform sicher und robust plant und wartet, um Cyberattacken durch andere Kunden, möglicherweise konkurrierende Industrieunternehmen, auszuschließen.
Zusammenarbeit mit Behörden
Datenschutzvorfälle müssen der Datenschutzbehörde gemeldet werden, sonst drohen hohe Strafen. Auch durch IT-Sicherheitslücken kann es zur Verletzung des Datenschutzes kommen, indem zum Beispiel Passwörter oder Kundendaten bekannt werden. Mit (1) einem entsprechenden Risikomanagement können Gefahrenquellen evaluiert und erkannt werden, um entsprechende Schutzmaßnahmen zu ergreifen. KMU sollten (2) ihre MitarbeiterInnen zudem regelmäßig schulen, um sie für technologische Gefährdungssituationen zu rüsten.
„Cyber Security wird immer mehr zu einem kritischen Faktor für Unternehmen. Als Plattform ist es uns deshalb wichtig, für produzierende KMU, die oft schlicht nicht die Zeit haben, sich eingehend mit der Sicherheitsthematik zu beschäftigen, einen praxisorientierten Leitfaden zur Verfügung zu stellen“, so Kurt Hofstädter, Vorstandsvorsitzender der Plattform Industrie 4.0 Österreich & Leiter Siemens Digital Strategy CEE.
Hotline für KMU
Um KMU Unterstützung zu bieten, hat die Wirtschaftskammer Österreich (WKO) die Cyber-Security Hotline 0800 888 133 eingerichtet – rund um die Uhr werden WKO-Mitglieder zu Cyberattacken wie Schadsoftware beraten. Schadsoftware ist eines der häufigsten IT-Sicherheitsprobleme, im Frühjahr waren 900 Mio. verschiedene Schadprogramme im Umlauf, darunter klingende Namen wie BlackEnergy, Mirai, Stuxnet, WannaCry, EMOTET oder Regin.